有關×××連接的15項故障診斷提示

您可以通過無數種方式構建虛擬專用網絡。最低限度的×××實現方案由連接Internet的RAS PPTP服務器、連接Internet的客戶端以及位於上述服務器與客戶端之間的PPTP連接所組成。只要ISP服務或Internet連接處於可用狀態，客戶端即可從世界上的任意一個角落與您的服務器建立連接。然而，大多數×××並非僅僅由相互連接的服務器與客戶端構成。通常情況下，×××服務器位於一個可以實現路由的LAN網段上，並處在防火牆後方；客戶端連接則使用一個同樣包含路由器與防火牆的ISP網絡。圖1顯示了一種常見的移動客戶端×××實現方案。

您只需通過幾個簡單步驟即可以獨立服務器或域控制器的方式創建一臺PPTP服務器。您需要安裝RAS和PPTP協議，並按照配置撥號連接的方式來配置PPTP端口。Windows NT客戶端安裝過程同樣相當直接：您只需裝載PPTP並配置通過Internet與PPTP服務器相連的PPTP連接。由於安裝方式如此簡單，您自然會認爲×××連接將一次調試通過。然而，實際情況卻是，×××連接在某些情況下仍舊需要進行調節。

×××故障診斷與WAN連通性故障診斷非常相似，由於數據在到達目的地之前需要在許多連接上進行傳送，因此，整個處理過程相當複雜。舉例來說，通常情況下，數據需要通過防火牆、ISP網絡甚至其它ISP網絡從客戶端傳送至ISP路由器，再由ISP路由器依次傳送至企業路由器、防火牆或代理服務器，並最終到達目標PPTP服務器。

當客戶端與某個ISP建立連接時（這種連接使用×××連接中的點對點協議--PPP--部分），ISP將爲客戶端分配一個TCP/IP地址、一個DNS服務器地址以及一個缺省網關。當客戶端發起一個PPTP連接時，這項操作將創建第二個TCP/IP會話（這個會話是×××連接的隧道部分），並將其嵌入到用以提供數據包加密與封裝功能的第一個會話內部。當客戶端連接成功後，×××服務器將爲客戶端分配第二個IP地址、第二個DNS服務器地址、可選WINS服務器以及另一個缺省網關。圖2顯示了組成PPTP會話的兩部分內容--PPP連接和PPTP連接。在連接中的每一條鏈接上，均有可能出現故障。瞭解常見配置與連通性問題並掌握必要的故障診斷操作步驟將幫助您對×××連接進行解譯與調試。

×××服務器建議
如果可能的話，請從一臺裝有最低限度服務且僅含TCP/IP與PPTP協議的NT服務器開始。NT 4.0 Service Packs 5（SP5）與SP6a修正了大量有關PPTP連接的問題，其中包括與碎片數據包、被丟棄的連接以及被拒絕的連接相關的性能問題。如果在嘗試對客戶端連接進行調試之前首先利用服務軟件包對服務器進行更新，那麼，您將能夠節省大量時間。爲幫助您保持簡單直接的服務器配置，以便實現故障診斷目的，我將爲您提供四條建議。

配置一臺多宿主服務器：如果您的PPTP服務器配備了兩塊網卡，一塊針對LAN，一塊針對WAN，那麼，請將LAN適配器上的網關設置爲空（請注意，這裏要求設置爲空而非設置爲0）。在WAN網絡接口的網關字段中輸入ISP所定義的TCP/IP地址；網關地址通常指向ISP所屬的一臺路由器。您需要保持LAN網關設置爲空，以便使服務器能夠將網絡數據包路由至客戶端。當您爲服務器配置多個網絡適配器時，保持LAN網關設置爲空是一種標準實現方式。如需獲取更多有關如何爲多宿主服務器配置路由方式的信息，請查看“原先發布的相關文章”中的第XX頁。在測試過程中，我建議您手工輸入LAN NIC的TCP/IP地址與WINS服務器地址（而不要通過DHCP爲其分配這些取值）。

配置RAS：當您安裝RAS時，請僅爲那些真正需要提供支持的活動客戶端連接配置必要數量的×××端口。儘管每臺RAS服務器能夠支持256條並行連接（假設您擁有足夠支持所有這些活動的網絡帶寬），然而，在實際應用過程中，您可能只需要爲您的漫遊用戶提供40條並行連接。接下來，將服務器配置爲通過靜態地址池而非DHCP服務器來分配客戶端地址。如果您將RAS配置爲從靜態地址池中分配客戶端地址，那麼，客戶端將從RAS服務器繼承DNS與WINS設置。如果您的RAS服務器能夠瀏覽網絡，那麼，客戶端同樣可以利用相同的設置來瀏覽網絡。
如果您傾向於使用DHCP，請確保DHCP範圍選項44（WINS/NetBIOS名稱服務器）指向WINS服務器且範圍選項6顯示您的DNS服務器地址。如果未能定義這些選項，那麼，您將幾乎肯定會在客戶端瀏覽過程中遇到問題。

啓用PPTP過濾功能：由於可以避免測試與調試鏈中的某個連接被防火牆刪除，因此，同對處在防火牆內部的服務器進行測試相比，對處於防火牆外部的×××服務器進行配置與測試要容易得多。如果在具備高度安全性的環境中運行服務器，您便可以放心的將服務器置於防火牆外部並將允許進入的唯一×××通信內容限制爲PPTP數據包。如屏幕快照1所顯示的那樣，如需從控制面板中啓用PPTP過濾功能，請依次選擇“網絡”、“協議”、“TCP/IP協議”、“WAN適配器”、“高級”，並選中“啓用PPTP過濾功能”複選框。當您啓用PPTP過濾器後，服務器拒絕所有非PPTP請求。我曾經對這項特性進行過專門測試，事實證明，這是一種能夠對進入×××連接會話加以限制的有效方式。PPTP過濾功能具有一個重要的副作用：當您啓用過濾功能後，由於其阻擋了進入的HTTP與FTP通信內容，LAN客戶端將無法通過RAS服務器的WAN連接對Internet進行瀏覽。
如果希望×××服務器將允許進入的數據包限制爲PPTP數據包並託管一個可以通過Internet進行訪問的Web站點，那麼，您需要對註冊表進行修改以便允許其它數據包通過過濾接口進入本地系統。前往HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \RASPPTPF \Parameters註冊表鍵，添加名爲AllowPacketsForLocalMachine且數據類型爲REG_DWORD的記錄項，並將其取值設置爲1。當完成此項修改後，RAS服務器將暴露在Internet上，然而進入×××服務器的連接將受到限制，這樣一來，遠程客戶端將無法看到網絡上的任何其它資源。

使用防火牆端口：在將×××服務器置於防火牆後方之前，請首先確認您的防火牆軟件能夠接收PPTP數據包。當您通過網絡地址轉換（NAT）對防火牆進行配置時，防火牆軟件包（包括某些支持檢查點軟件技術的FireWall-1版本）在某些情況下可能無法接受PPTP連接。這種情況下，嘗試與RAS服務器建立連接的客戶端將報出一條事件編號爲721的錯誤消息--PPP遠端未能響應。當您將×××服務器置於防火牆後方時，請確保啓用編號爲47的IP協議端口（通用路由封裝--GRE）和以及編號爲1723的TCP端口。×××連接使用1723端口完成諸如PPTP隧道創建、維護與終止之類的日常管理工作。47端口則用於在客戶端與服務器（包含GRE協議）之間傳送隧道數據，如果您希望支持RAS服務器對服務器×××連接，則同樣需要建立編號爲1723的TCP端口。
在嘗試與×××客戶端建立連接之前，請首先對通信雙方NIC上的服務器TCP/IP設置進行驗證，並確保您的RAS服務器能夠執行所有典型網絡操作（例如瀏覽LAN、連接LAN資源、連接Internet或瀏覽Internet等）。此後，請針對您的測試帳號啓用撥號權限。另外，您可能還需要在最初測試過程中啓用PPP日誌功能。

客戶端故障診斷
爲確保操作成功，PPTP客戶端必須正確維護兩套TCP/IP協議棧設置：其中一套面向於ISP與Internet連接，另一套面向於×××服務器連接，具體情況如圖2所示。客戶端路由表同樣必須包含兩條記錄：其中一條負責將網絡數據包定向至提供Internet瀏覽服務的ISP，另一條指向用於實現LAN瀏覽的×××服務器接口。當協議棧設置不正確時，客戶端將會遇到嚴重問題。通常情況下，NT客戶端維護獨立的TCP/IP協議棧設置，然而，當同時配備網卡和調制解調器時，Windows 95客戶端則會經常出現協議棧設置問題。在建立PPTP連接後，Windows 9x缺省網關可能仍舊指向ISP，從而使客戶端無法成功瀏覽LAN。下面，讓我們來看一看五種最爲常見的客戶端連接問題。

客戶端無法連接PPTP服務器：您可能遇到的第一種問題是客戶端無法連接到PPTP服務器。此時，您需要對以下三種可能導致這種問題的因素進行查看。

建立×××服務器Internet連通性。在完成客戶端配置工作後，您需要驗證×××服務器具備一條Internet連接。驗證這種連接的最簡單方式是從設置服務器TCP/IP地址的客戶端上對服務器執行ping操作。（如果您的PPTP服務器位於防火牆後方且防火牆被設置爲阻止Internet控制消息協議--ICMP--ping消息，那麼，這種驗證方式將無法使用。）如果ping指令顯示消息請求超時，則說明服務器Internet連接可能存在某種問題。如果服務器通過地址進行相應，您可以在DUN記錄的電話號碼字段中輸入TCP/IP地址以便建立PPTP會話。儘管與通過全面驗證的域名（FQDN）相比有些不夠友好，這項技術在您知道服務器地址的情況下仍舊非常有效。
需要注意的是，使用撥號連接的服務器很有可能在每次與ISP建立連接時獲得不同的地址。如需通過地址進行連接，您必須瞭解服務器每次建立撥號連接時由ISP所分配的地址。通常情況下，您的RAS服務器將使用一個永久地址，從而消除了連接過程中的一項細微可變因素。
如果服務器通過地址進行響應，請繼續使用名稱對其執行ping操作。如果服務器無法通過名稱進行響應，原因可能有兩種：服務器可能不具備註冊域名，或者您的ISP DNS服務器可能處於停機狀態或無法正常工作。
查看PPTP過濾功能。當服務器上的PPTP過濾功能處於啓用狀態時，您可能會看到消息“錯誤678：無法應答”或“錯誤650：遠程訪問服務器無法響應”。此時，請在服務器上禁用PPTP過濾功能（Net Stop RASPPTPF），並查看是否可以建立非過濾連接。
如果能夠在過濾功能處於禁用狀態的情況下建立連接，請檢查服務器的過濾器設置。如果您禁用了編號爲137和138的UPD端口或者編號爲139的TCP端口，NetBIOS數據包將無法通過網絡。對於單播（點對點）通信過程，您同樣需要在客戶端與服務器之間的所有防火牆與路由器上啓用這些端口。
過濾GRE協議。如果服務器能夠通過地址和名稱進行響應但您仍舊無法建立連接，那麼，您所使用的ISP路由器、內部路由器或防火牆可能過濾掉了GRE數據包。爲建立一條PPTP隧道，客戶端與服務器之間需要交換GRE數據包，然而，由於需要在內部利用GRE來管理路由器，某些ISP會禁用外部GRE數據包。儘管GRE過濾功能並不常用，但他的確能夠阻止PPTP連接，因此，請確保您在×××連接兩端均啓用了編號爲47的IP協議端口（GRE）以及編號爲1723的TCP端口。您可以利用Microsoft網絡監視器或其它類似的網絡探測工具來確定GRE過濾功能是否被啓用。如需獲取更多關於如何在×××連接期間對PPTP數據包進行監控的信息，請查看“原先發布的相關文章”中的第XX頁。

客戶端能夠連接但無法登錄：您可能遇到的第二種問題是已經建立連接的客戶端無法進行登錄。此時，您需要對以下三種可能導致這種問題的因素進行查看。

配置域和服務器帳號。您可以將RAS服務器配置爲域控制器或獨立系統。如果您將服務器配置爲域控制器，請確保用戶的域帳號具備撥入權限。如果服務器並非域控制器，缺省情況下，RAS將通過本地SAM對客戶端授權憑證進行驗證。用戶可以通過兩種方式在獨立服務器上實現身份驗證：利用RAS服務器上的本地帳號或利用強制服務器通過域SAM對證書進行驗證的註冊表項。無論採用何種方式，您所提供的帳號都必須具備撥入權限。
配置計算機帳號。如果客戶端爲NT工作站或服務器，相應計算機必須在域中擁有一個帳號。如果客戶端是一套新的系統，則請在對連接進行測試之前首先在服務器管理器中創建一個新的計算機帳號。如果客戶端系統已經在網絡上擁有一個帳號，但已有一個或多個星期未曾進行連接，那麼，計算機帳號口令可能不再與服務器保持同步。每個計算機帳號都有一個由PDC自動重置的隱藏口令，如果系統長期處於脫機狀態，PDC與客戶端上的帳號口令將不再相同。通常情況下，您可通過刪除並重新添加這個帳號的方式解決這種問題。
協商客戶端身份驗證方式。RAS服務器可以通過三種不同身份驗證協議對PPTP用戶進行身份驗證。按照由低到高的安全性順序，這三種協議分別是通過明文方式實現的口令身份驗證協議（PAP）、通過加密與Hash算法實現的質詢式握手身份驗證協議（CHAP）以及通過加密和帶有校驗和的雙重Hash算法實現的Microsoft質詢式握手身份驗證協議（MSCHAP）。客戶端與服務器通過協商方式確定的登錄身份驗證協議取決於您在配置服務器進入端口與客戶端PPTP連接網絡設置時所選擇的加密設置。服務器與客戶端上擁有以下可用選項：

允許使用任意一種包含明文的身份驗證方式。服務器將通過客戶端所請求的協議（例如PAP、CHAP或MSCHAP）來完成身份驗證。
需要加密的身份驗證方式，服務器將通過MSCHAP、數據加密標準（DES）或Shiva PAP（SPAP）來完成身份驗證。
需要Microsoft加密的身份驗證方式。服務器只能通過MSCHAP實現身份驗證。
從SP3開始，Microsoft引入了一種更爲安全的MSCHAP版本，稱爲MSCHAP V2。您可以通過在服務器和Windows客戶端上創建一條註冊表項的方式來強制客戶端僅僅使用MSCHAP V2執行身份驗證。然而，當您執行此項修改操作時，那些不具備MSCHAP V2（一種專用Microsoft協議）支持能力的客戶端將無法成功登錄。因此，這種更改方式將使UNIX和Macintosh系統無法登錄到您的×××服務器上。
如需獲取有關登錄失敗情況的故障診斷信息，請在用戶管理器中啓用登錄審計功能並再次嘗試建立連接。當您查看NT事件查看器安全日誌中所存儲的記錄時，您將能夠獲得相關障礙的清晰描述信息。您可以看到用戶名稱是否合法，口令是否錯誤或者已經過期，計算機是否缺少一個合法帳號以及是否不存在可用×××端口。
當用戶能夠成功登錄後，應用程序事件日誌將記錄登錄的日期與時間。此外，您還將能夠在事件日誌中找到另一個用以記錄用戶註銷時間和會話持續時間的事件。

客戶端能夠登錄但無法瀏覽LAN：您還可能會遇到客戶端能夠登錄但無法瀏覽LAN的情況。如需對這種問題進行故障診斷，請確保已在所有Windows 9x客戶端上將工作組設置爲目標NT域的名稱。接下來，如果客戶端數量超過15或20個節點，也有可能造成客戶端無法瀏覽，這是因爲通過低速撥號連接對大型網絡進行瀏覽是一項極爲困難的任務。在PPTP會話建立後預先定義或手工將統一命名規範（UNC）連接映射到所需共享內容與資源是一項對於用戶來說非常友好的操作。最後，您還需要理解四種TCP/IP設置如何對您的網絡連接產生影響。（如需獲取更多關於TCP/IP設置的信息，請查看工具條“重要客戶端TCP/IP設置”。）當您需要爲那些通過永久高速連接在家中進行工作的用戶提供支持時，遠程LAN瀏覽將是一種可行方案。在對這些組件進行檢查並審覈TCP/IP設置後，您便可以利用以下項目對瀏覽問題實施故障診斷。

工具條1：重要客戶端TCP/IP設置
面向×××會話的TCP/IP設置將採用與面向LAN連接的TCP/IP設置相同的方式運行。如需對某種×××實施方案進行故障診斷，您應當首先理解四種TCP/IP設置如何對網絡連接與瀏覽方式產生影響：

DNS服務器：這種服務器能夠將通過全面驗證的域名（FQDN，如[url]www.win200mag.com[/url]）轉換爲相應的TCP/IP地址（如207.54.25.03）。當您擁有一臺能夠正常工作的DNS服務器時，您的計算機將可以通過名稱方式來查詢並連接其它計算機。當您不具備DNS服務器（或者DNS服務器無法正常工作）時，您將無法通過名稱方式與計算機建立連接。此時，您只能藉助目標計算機TCP/IP地址與其建立連接。

WINS服務器：這種服務器能夠將NetBIOS名稱轉換爲相應的TCP/IP地址。在Windows NT 4.0網絡中，每臺計算機都將通過WINS服務器或本地瀏覽器（如果無可用WINS服務器）註冊一個NetBIOS名稱。同時，每臺計算機還將爲其所發佈的每個文件與打印共享註冊一個NetBIOS名稱。如果您的客戶端已經分配了一臺WINS服務器，且假設您擁有所需的安全證書，那麼，您將可以查看並連接網絡上的共享打印機。如果您的客戶端尚未分配WINS服務器，那麼，您將無法瀏覽網絡鄰居，但如果您能夠手工輸入統一命名規範（UNC）名稱並且您的安全證書允許對共享資源進行訪問，那麼，您將可以同文件與打印共享資源建立連接。

DHCP服務器：這種服務器至少能夠在啓動時爲LAN客戶端分配TCP/IP地址並在連接時爲RAS客戶端分配TCP/IP地址。如需將DHCP服務器配置爲指派其它TCP/IP協議棧設置內容，您可以定義針對域名、缺省網關、DNS服務器以及WINS服務器等信息的範圍選項。

缺省網關：這種網關將在數據傳輸目標爲本地子網以外系統時通知計算機將數據發送至一臺特定計算機或路由器。網關路由顯示在Print Route命令輸出結果中的表格首行內。

檢查瀏覽方式。當您對網絡甚至特定服務器進行瀏覽時，您經常會收到內容爲“發生53號系統錯誤”的消息。此時，網絡路徑將無法找到。無法進行瀏覽的情況通常意味着客戶端無法解析NetBIOS名稱。請確保已經爲客戶端指定了一臺靜態（在PPTP連接的網絡設置中）或動態（針對所有客戶端使用Ipconfig命令或針對Windows 9x客戶端使用Winipcfg命令）WINS服務器。如果客戶端不具備WINS服務器地址，請手工輸入地址，重新建立連接並再次嘗試進行瀏覽。
設置缺省網關。尋找針對PPTP連接的缺省網關設置或打印路由表（使用Route Print命令）。如果網關仍舊指向ISP，那麼，所有瀏覽LAN的客戶端請求都將前往ISP而非×××連接，ISP可能會阻塞NetBIOS名稱廣播所使用的端口。需要注意的是，除非在編號爲137和138的UDP端口以及編號爲139的TCP端口上啓用單播通信方式，否則，路由器與防火牆將禁止傳送NetBIOS名稱。NetBIOS名稱爲Microsoft專用，某些ISP可能不允許此類數據從他們的基礎架構上流過。
您可以通過手工方式從路由表中刪除路由記錄並添加針對×××服務器虛擬接口的靜態路由記錄。服務器虛擬接口是指分配給×××接口的地址。這種地址要麼是靜態地址池中的第一個地址，要麼是RAS服務器配置中的第一個可用DHCP地址。
啓用NetBEUI。如果您並非堅持要使用TCP/IP協議，那麼，您一般情況下總是能夠通過在RAS服務器和遠程客戶端上安裝NetBEUI的方式來解決客戶端瀏覽問題。爲此，您只需在服務器的×××端口上針對進入系統的連接啓用NetBEUI，並在客戶端PPTP連接中選擇NetBEUI複選框。此後，您便可以在TCP/IP上利用NetBEUI將客戶端與服務器建立連接。儘管如此，我們仍然無法迴避基於NetBIOS的NT名稱空間固有限制。儘管從技術角度考慮容易遭受***，然而，這種NetBEUI方案可能是獲取全面LAN瀏覽能力的最簡單方式。
如果在您嘗試上述這些技術後客戶端仍舊無法進行瀏覽，那麼，請嘗試通過客戶端與某種網絡共享資源建立連接。舉例來說，您可以使用net use z: \\myserver\myshare命令。在處於故障診斷模式中時，通過手工方式與共享資源建立連接通常是一種允許用戶訪問文件及打印機的良好工作機制。
如果仍舊無法進行瀏覽，您接下來需要審覈×××服務器配置。許多服務器上所出現的問題都會對客戶端瀏覽產生影響，但由於篇幅所限，本文無法詳細爲您列出所有潛在問題與解決方案。通過在Microsoft知識庫頁面[url]http://support.microsoft.com/search/default.as[/url]上搜索有關PPTP客戶端瀏覽與多宿主瀏覽的信息，您將能夠發現許多非常有用的鏈接。這種搜索將返回有關多宿主服務器與網絡瀏覽問題（例如各個NIC上的瀏覽器無法交換瀏覽列表）、PPTP連接以及WINS服務器位置等內容的文章列表。

已經建立連接的客戶端無法瀏覽Internet：我曾經多次在同時安裝網卡和調制解調器的Windows 95客戶端上遇到過這種問題。當出現這種問題時，儘管×××會話處於活動狀態，但客戶端卻無法瀏覽Internet。導致這種問題的常見原因有兩種。首先，當遠程客戶端具備網絡連接時，×××服務器可能不允許遠程客戶端訪問Internet。這種情況下，當您關閉×××連接後，由於缺省網關恢復爲ISP所定義的網關，因此，客戶端將能夠瀏覽Internet。其次，當客戶端處於連接狀態時，Windows 95可能會使用×××服務器所定義的網關來覆蓋ISP網關，從而切斷客戶端訪問Internet的路徑。爲解決這種問題，您可以通過手工方式面向ISP缺省網關添加代價爲2（即首先嚐試×××網關，其次嘗試ISP網關）的靜態路由記錄。

已經建立連接的客戶端無法顯示在網絡鄰居中：與我共事過的一名網絡工程師曾經遇到過客戶端（即便使用全功能×××客戶端連接）無法顯示在LAN端網絡鄰居中的問題。您僅僅利用TCP/IP協議來配置客戶端PPTP連接，同時通過×××服務器建立連接並實現身份驗證，此後，客戶端便可以瀏覽所有LAN資源。當遠程客戶端展開網絡鄰居時，網絡鄰居將顯示自身系統以及瀏覽列表中的所有其它客戶端，但遠程客戶端卻始終無法顯示在LAN上的網絡鄰居中。如果希望遠程客戶端出現在LAN瀏覽列表中，您需要在RAS服務器與RAS客戶端上安裝NetBEUI。這種RAS所特有的一種奇怪問題，但目前這種問題尚無法得到有效解決。

最終準備就緒
我向您介紹了大多數常見的×××配置與連接問題。現在，您已經掌握了許多故障診斷技巧。這些技術十分行之有效且極爲流行，當管理員在Windows 2000（Win2K）中利用標準隧道協議與IP安全性（IPSec）時，這些技術將被廣泛採用。需要注意的是，在學習這些技術的過程中，您應當做到由淺入深且一步一個腳印。此後，您便可以高枕無憂了。